瑞星卡卡安全论坛

这是一个网页挂的木马下载器。http://yyhhccnn.cn/1.exe这个病毒网址已经失效。

此样本来自剑盟http://bbs.janmeng.com/thread-808350-1-1.html

中招后,SRENG 2.6.18.1205仍可正常运行。SRENG日志的异常所见见附件。

这个马群比较BT。通过恢复SSDT，使杀软等安全工具失效。替换系统文件wuauclt.exe、beep.sys。释放病毒驱动HBKernel.sys........。
此毒不但通过IFEO劫持目前流行的杀软及常用辅助杀毒工具，且监视相关安全软件、辅助工具的窗口、目录、图标。一旦发现相关程序活动，立即关闭程序窗口。SSM也没逃过其黑手。使中招者难以下手杀毒。


例如：中招后，你点击IceSword所在的目录，窗口会立即关闭；将IceSword.exe改名为000.exe，图标不变，这个000.exe也不能运行。尝试从IceSword所在目录拷贝IceSword.exe到桌面（文件名取0.com），结果：在桌面生成一个病毒文件.pif。

只好从其它电脑拷贝一个IceSword.exe，取名为0.com，放在U盘上。再将U盘上的0.com拷贝至C盘根目录下。在cmd下键入：c:\0.com /c，回车。这个改名为0.com的IceSword可运行，但窗口即刻被病毒关闭。汗！

再次键入c:\0.com /c，按回车。OK！不知是病毒反应不过来，还是此毒本身考虑欠周到，反正我第二次在cmd下运行这个改名为0.com的IceSword，成功了。

主动权到手！立即禁止进程创建。结束系统核心进程以外的所有进程。删除SRENG日志所见的病毒文件，删除相应的注册表加载项、驱动项、服务项以及IFEO劫持项。

重启系统。

重启后，杀软、辅助工具已经解放。按中毒日期全盘搜索一下硬盘文件，漏网的－－－－杀掉。U盘中的病毒文件－－－杀掉。

注意：此毒有如下特点：
1、C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\dfjje.exe貌似是个“幽灵”。用IceSword删除该文件后，进程中仍可见dfjje.exe进程，但路径已改为：c:\System Volume Information\。因此，应删除系统还原文件夹中的所有文件。
2、病毒在IE临时文件夹中留下大量病毒文件。抓到系统控制权后，用IceSword删除病毒文件时，不要忘记删除IE临时文件夹中的所有文件。

用户系统信息：Opera/9.52 (Windows NT 5.1; U; zh-cn)

附件: SREngLOG.rar

弱弱的问下，冰刃的/c参数是什么意思咧

代/c参数运行IceSword，只有按ctrl-D，才能结束IceSword进程。

又学了一招，多谢猫版

good
很好的文章，又没加精啊

映像挟持
weiai15.exe Autorun
篡改AppInit_DLLs的值
System.exe
PIF那个病毒
替换系统文件...
释放多个DLL到System32目录

这毒挺麻烦的
是冰刃才能删吗？
wsyscheck和狙剑snipesword能删么？

你自己试吧。
 我未曾用过这两个工具。

该用户帖子内容已被屏蔽

日志一看，里面已经没啥正常的东西了，汗倒……:default2:

日志是被猫叔精简过了，不过这么多破东西很吓人

日志不完整，时间和日期都没有。
看来这个毒还真的历害了，不知道在远程能不能解决。是不是清理此毒必须要在断网的情况下才能解决。
如果在远程不能断网的情况下能解决？


要是下次碰到
我来用qqkav看一下能不能傻瓜式的杀掉。

病毒网址还可以打开。也可以正常下载，我来找一台机器试验一下。

注意、注意、再注意

看来那个sys只会恢复个SSDT，连挂Inline Hook 都不会。想管住IceSword终止它的进程很容易的，只不过许多人以为不让IceSword运行就足够了。

我想病毒作者可能写了这样的伪代码：

while(1)
{
  ::Sleep(xxx);
  if(ScanIceSword())
  {
          KillIceSword(); // 以为杀掉一次IS就够了
          break;  //  这句break导致检测IS的循环退出。
  }
}

努力研究中

学习了！

[HBKernel32 Driver / HBKernel32][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel32.sys><N/A>
这驱动怎么到处都有。。。。